这里并不是负载不够的问题，而是异常请求包触发了基于 DPDK 开发的 NS 服务器的 bug （解析程序和 DPDK 都有 bug 被触发），导致这部分 NS 服务器服务异常。而免费套餐为了提高性能，绝大部分都是用的高性能的基于 DPDK 的 NS 服务器，当大量的异常请求包逐渐把这些服务器干掉后，剩余的非 DPDK 服务器处理能力不足以支撑免费套餐的请求，造成大范围故障。

是不是请求的域名（或泛解析）设置了 CNAME，如果是先暂停一下，设置好了，再设置回来，CAA 记录后台解析是支持的，但是前台控制台不支持设置，如果设置了 CNAME，请求 CAA 记录但是没有设置就会返回 CNAME，然后去查找 CNAME 域名的 CAA 记录。
如果不设置 CNAME 记录，请求 CAA，会返回 SOA 记录，let's encrypt 就可以验证通过。

@bclerdx 假设你这里也是江苏电信的出口 IP，然后找个域名设置一个江苏电信的线路（或者使用其他已经设置了江苏电信特有 IP 的域名），然后使用 119.29.29.29 解析，看是否能正确解析出江苏电信的 IP，解析正确表明 ECS 是生效的，即使公共 dns 的后端出口没有使用本地出口覆盖（如使用上海电信）

@Windy00 因为公共 DNS 是支持 ECS 的，并不一定会用本地出口覆盖，你可以测试下解析是否准确，设置个江苏电信的记录，看解析是否正确就可以了

@CivAx 大规模 DDoS 攻击现在我已经不说话了，暂时没办法

@lastczj
解析到 119.75.213.61 这个 ip 显然没有问题
'''
curl -v https://www.baidu.com
* Rebuilt URL to: https://www.baidu.com/
* Trying 119.75.213.61...
* Connected to www.baidu.com (119.75.213.61) port 443 (#0)
* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 594 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_128_GCM_SHA256
* server certificate verification OK
* server certificate status verification SKIPPED
* common name: baidu.com (matched)
* server certificate expiration date OK
* server certificate activation date OK
* certificate public key: RSA
* certificate version: #3
* subject: C=CN,ST=beijing,L=beijing,OU=service operation department,O=Beijing Baidu Netcom Science Technology Co.\, Ltd,CN=baidu.com
* start date: Tue, 03 Apr 2018 03:26:03 GMT
* expire date: Sun, 26 May 2019 05:31:02 GMT
* issuer: C=BE,O=GlobalSign nv-sa,CN=GlobalSign Organization Validation CA - SHA256 - G2
* compression: NULL
* ALPN, server accepted to use http/1.1
> GET / HTTP/1.1
> Host: www.baidu.com
> User-Agent: curl/7.47.0
> Accept: */*
>
< HTTP/1.1 200 OK
< Accept-Ranges: bytes
< Cache-Control: private, no-cache, no-store, proxy-revalidate, no-transform
< Connection: Keep-Alive
< Content-Length: 2443
< Content-Type: text/html
< Date: Thu, 01 Nov 2018 04:03:17 GMT
< Etag: "588603ec-98b"
< Last-Modified: Mon, 23 Jan 2017 13:23:56 GMT
< Pragma: no-cache
< Server: bfe/1.0.8.18
< Set-Cookie: BDORZ=27315; max-age=86400; domain=.baidu.com; path=/
<
<!DOCTYPE html>
<!--STATUS OK--><html> <head><meta http-equiv=content-type content=text/html;charset=utf-8><meta http-equiv=X-UA-Compatible content=IE=Edge><meta content=always name=referrer><link rel=stylesheet type=text/css href=https://ss1.bdstatic.com/5eN1bjq8AAUYm2zgoY3K/r/www/cache/bdorz/baidu.min.css><title>百度一下，你就知道</title></head> <body link=#0000cc> <div id=wrapper> <div id=head> <div class=head_wrapper> <div class=s_form> <div class=s_form_wrapper> <div id=lg> <img hidefocus=true src=//www.baidu.com/img/bd_logo1.png width=270 height=129> </div> <form id=form name=f action=//www.baidu.com/s class=fm> <input type=hidden name=bdorz_come value=1> <input type=hidden name=ie value=utf-8> <input type=hidden name=f value=8> <input type=hidden name=rsv_bp value=1> <input type=hidden name=rsv_idx value=1> <input type=hidden name=tn value=baidu><span class="bg s_ipt_wr"><input id=kw name=wd class=s_ipt value maxlength=255 autocomplete=off autofocus=autofocus></span><span class="bg s_btn_wr"><input type=submit id=su value=百度一下 class="bg s_btn" autofocus></span> </form> </div> </div> <div id=u1> <a href=http://news.baidu.com name=tj_trnews class=mnav>新闻</a> <a href=https://www.hao123.com name=tj_trhao123 class=mnav>hao123</a> <a href=http://map.baidu.com name=tj_trmap class=mnav>地图</a> <a href=http://v.baidu.com name=tj_trvideo class=mnav>视频</a> <a href=http://tieba.baidu.com name=tj_trtieba class=mnav>贴吧</a> <noscript> <a href=http://www.baidu.com/bdorz/login.gif?login&amp;tpl=mn&amp;u=http%3A%2F%2Fwww.baidu.com%2f%3fbdorz_come%3d1 name=tj_login class=lb>登录</a> </noscript> <script>document.write('<a href="http://www.baidu.com/bdorz/login.gif?login&tpl=mn&u='+ encodeURIComponent(window.location.href+ (window.location.search === "" ? "?" : "&")+ "bdorz_come=1")+ '" name="tj_login" class="lb">登录</a>');
</script> <a href=//www.baidu.com/more/ name=tj_briicon class=bri style="display: block;">更多产品</a> </div> </div> </div> <div id=ftCon> <div id=ftConw> <p id=lh> <a href=http://home.baidu.com>关于百度</a> <a href=http://ir.baidu.com>About Baidu</a> </p> <p id=cp>&copy;2017&nbsp;Baidu&nbsp;<a href=http://www.baidu.com/duty/>使用百度前必读</a>&nbsp; <a href=http://jianyi.baidu.com/ class=cp-feedback>意见反馈</a>&nbsp;京 ICP 证 030173 号&nbsp; <img src=//www.baidu.com/img/gs.gif> </p> </div> </div> </div> </body> </html>
* Connection #0 to host www.baidu.com left intact
'''

是不是因为各大运营商的 LDNS，对外虽然都是一个或几个 ldns ip，但实际上后面是有多台服务器对外提供服务呢？
这个是必然的。

这些服务器是不是会根据用户的来源做区分？
负载均衡会根据客户端的来源进行区分（比如四元组或者五元组，再加后端 RS 的权重等），尤其是对 TCP ； DNS 用的 UDP 默认大多也是会根据来源区分，当然要做轮询也是可以的。

@HalloCQ 后台实际就是用的 /24 来匹配的，请求没啥影响

@lisonfan
攻击初始流量肯定是过 T 了的，到机房的流量还差一点。
@Wenpo
攻击很容易，防护的话就没那么容易了，119 全部是 BGP 的带宽，防护能力没那么强。如果是使用的三网的静态带宽的话，储备就非常高了。

持续受攻击中，建议设置备用 IP 119.28.28.28

@SukkaW 能做到，没有做这个服务

是有效的，当然一楼说的是有道理的，访问量这么少没必要做这个优化，除了某些特殊场景下这么做是有意义的（比如某些 TOB 业务的接单测试阶段）。

和 DNS 部门聊了下，他们会恢复 CNAME 和 MX 共存，但是具体恢复方案待定。比如控制台不可添加但是 API 可以添加（认为你是较懂的客户，知道这么做可能会造成什么后果）、或者换个名字啊，或者其他方式都有可能。
其实冲突问题对小站来说影响很小。

DNSPod 前端禁止同时添加共存并不是改架构了，而是为了减少客户出现问题和减少对一线的反馈。其实 DNSPod 后台也是支持类似的 LINK 记录的，是 CNAME 加速的额外附加功能，当 CNAME 和 MX 共存时会尝试直接返回 A 记录，而不是返回 CNAME 记录，但是限制条件太多，并不实用，具体可以看这里： https://support.dnspod.cn/Kb/showarticle/tsid/246

@gettext 你的账号有安全隐患，提工单

@mhycy 75
目前从实际应用来看架构上除了存储集群太小（具体多大算大 /小 /合适，这个数据我也没接触过，不清楚）之外，对应的疑问 2，其他的没看到什么硬伤，毕竟运行了这么多年，更多的是流程、规范和细节上（比如计算资源配比、存储容量告警阈值等）可优化的点。

因为磁盘可以正常读取，不会报错，只是读出来的数据不对，也不会触发硬件的异常告警。

@mhycy #68
这个我也不清楚了。

#67
可能之前没有正确理解的意思，疑问 3 是否是迁移过程中仓库 I 的读取到这个磁盘的请求也一直没有报出 I/O 错误？
我的理解可能是这样的，首先是只是部分数据读出来的不一致，并不是所有数据，且这部分数据大部分数据是冷数据，存在读取很少或根本没有读取到情况；仓库 I 一直正常的完整读取，即使是读取到这个副本的错误数据，校验失败，但是直接读取其他两个正常的副本进行了校验，在业务方看来读取是正常的，错误数据占比非常小，根本达不到报警的阈值， 只是排队去做异步修复了。
只是个人推测。

@mhycy #59
我并不是 CBS 存储的产品和研发部门的，是其他部门的，细节要看后续有没有架构分享之类的内容了。
回这篇帖子主要是也了解过分布式存储的一些东西，虽然没有做过，并且这个帖子是在讨论技术，而不是在互怼。